Interview zum Thema Datenschutz

mit Herrn Hofmann, Inhaber von "Coaching Factory"

.

Seit dem 25. Mai 2018 ist die neue europäische Datenschutzgrundverordnung (DSGVO) in allen Mitgliedsstaaten der EU wirksam. Mit der DSGVO werden die Rechte und Kontrollmöglichkeiten von natürlichen Personen gestärkt. Dadurch wird der Schutz von personenbezogenen Daten zudem EU-weit einheitlich geregelt.

Auch für Einrichtungen der beruflichen Bildung und Rehabilitation gibt es einige wichtige Punkte zu beachten, um zukünftig Daten gesetzeskonform zu erheben und zu verarbeiten. Herr Hofmann, Inhaber des Consulting Unternehmens "Coaching Factory", unterstützt auch Halvotec als Datenschutzbeauftragter und steht uns bei der korrekten Umsetzung der DSGVO zur Seite. Gemeinsam mit Herrn Hofmann sprechen wir in diesem Interview über das Thema Datenschutz und klären, was soziale Einrichtungen im Zuge der neuen Verordnung beachten müssen.

1. Guten Tag Herr Hofmann! Vielen Dank, dass Sie sich die Zeit nehmen, um mit uns über die neue Datenschutzgrundverordnung zu sprechen. Gleich vorweg - wen betrifft die DSGVO überhaupt?
Die DSGVO betrifft jeden, der mit personenbezogenen Daten zu tun hat, diese verarbeitet und weiterleitet. Das Ganze fängt schon allein bei der Email-Adresse an. Im Grunde ist jedes Unternehmen, Organisation oder Einrichtung von der DSGVO betroffen und muss hier entsprechend handeln.

2. Bisher regelte das Bundesdatenschutzgesetz (BDSG) den Datenschutz in Deutschland. Worin bestehen die zentralen Unterschiede zur DSGVO?
Die DSGVO betrifft alle EU-Staaten und alle, die mit EU-Staaten zu tun haben. Hier wurde versucht, eine einheitliche Datenschutzverordnung aufzusetzen, sodass möglichst in allen Ländern der gleiche Stand erreicht wird. Die neue Fassung des Bundesdatenschutzgesetzes ist zum gleichen Tag wie die DSGVO in Kraft getreten. Da Deutschland bereits einen sehr hohen Standard in Sachen Datenschutz aufweist, regelt die neue Fassung des Bundesdatenschutzgesetzes im Speziellen die Teile für Deutschland, die sich nicht in der DSGVO wiederfinden.

3. In der DSGVO sollen personenbezogene Daten geschützt werden. Um welche Daten handelt es sich hier konkret?
Die personenbezogenen Daten gliedern sich etwas auf - man benennt diese als Stammdaten oder allgemeine Personendaten. Zu den personenbezogenen Daten gehören beispielsweise Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse oder die Telefonnummer. Darüber hinaus gibt es ganz verschiedene Kategorien, darunter fallen Kontodaten, Kundendaten und Firmendaten. Auch Besitzmerkmale wie eingetragene Autos, Häuser, Immobilien sowie die sogenannten Profiling-Daten, die sich dann aus den verschiedensten Gesundheitsdaten zusammensetzen, gehören dazu. Eben alles, was einen Bezug zu einer Person herstellen lässt bzw. einer eindeutigen Identifizierung dient. Viele wissen nicht, dass allein schon die E-Mail-Adresse oder die Handynummer zu den personenbezogenen Daten gehören. Auch hinter einer IP-Adresse lässt sich immer konkret eine Person finden, zum Beispiel der eingetragene Verantwortliche, wenn es sich um die IP-Adresse eines Unternehmens handelt. 

4. Das Thema "Datenschutz" ist für Einrichtungen der beruflichen Bildung und Rehabilitation von hoher Relevanz, da diese mit besonders sensiblen und personenbezogenen Daten arbeiten. Worin besteht in Ihrer Sicht die größte Herausforderung?
Die größte Herausforderung besteht darin, den Datenschutz in allen Bereichen durchgängig zu gewährleisten. Die Problematik dahinter ist aber momentan, dass die konkretisierten Ausführungen vom Gesetzgeber, wie dies im Detail erfolgen soll, z.B. wann wird tatsächlich eine Einwilligungserklärung  zur Datenverarbeitung benötigt oder wann muss ein sogenannter Auftragsverarbeitungsvertrag zwischen zwei Parteien abgeschlossen werden, noch nicht ganz klar ist. Zwar gibt es dafür Beschreibungen, wann aber ein konkreter Anwendungfsll vorliegt, dafür findet man momentan noch keine hundertprozentigen Lösungen. Das ist diese große Herausforderung, die natürlich auch in der beruflichen Bildung und für Rehabilitationseinrichtungen enorm wichtig ist, da eben hier besonders sensible personenbezogene Daten verarbeitet werden. 

5. Vielen Einrichtungen sind die erforderlichen Maßnahmen zur gesetzeskonformen Umsetzung der DSGVO noch nicht ganz klar. Gibt es denn klare Voragben oder Richtlinien, die als Orientierung herangezogen werden können.
Für sehr viele Prozesse gibt es mittlerweile ganz klare Beispiele auch Mustervorlagen, die eingesetzt werden können. Wie bereits erwähnt, herrscht bei vielem, was uns im Alltag so betrifft, noch keine absolute Klarheit. Da müssen wir erst einmal die nächsten Monate abwarten. Von den verschiedensten Arbeitsgruppen, die sich damit beschäftigen, kommen fast täglich mehr Informationen. Der Nachteil ist jedoch, dass direkt nach dem 25. Mai die erste Abmahnwelle losrollte, die darauf pochte, dass diese Richtlinien nicht richtig umgesetzt wurden. Aber wie gesagt, das Informationsniveau wächst täglich und somit sollte auch die Gefahr von einer Abmahnwelle getroffen zu werden, sinken.

6. Bei Nichteinhaltung der Vorgaben drohen hohe Bußgelder. Wie können die Berufsbildungs- und förderungswerke sicherstellen, dass sie tatsächlich DSGVO-konform arbeiten?
Es gibt überall Mindestanforderungen, die jetzt erstmal erfüllt werden müssen. Gerade Berufsförderungs- und Berufsbildungswerke sollten auf jeden Fall versuchen, diese Mindestanforderungen unverzüglich umzusetzen. Dazu hat die Vereinigung der Berufsförderungswerke ein spezielles Projekt aufgesetzt. Das Ganze basiert auch auf einer anwaltlichen Unterstützung, wodurch die Rechtskonformität gewährleistet wird. Ich denke, dass alle beteiligten Berufsförderungswerke, die an diesem Projekt teilgenommen haben, vorerst ziemlich gut aufgestellt sind.

7. Was raten Sie Einrichtungen, um den den neuesten Änderungen in der Datenschutzgesetzgebung zu entsprechen?
Prinzipiell sollten die Einrichtungen das Thema nicht als einmalige und einfache Angelegenheit sehen, sondern sich lieber etwas mehr Zeit nehmen und ggf. auch in eine Rechtsberatung investieren. Auch die Veröffentlichungen der Aufsichtsbehörden sollten täglich verfolgt werden, da diese immer wieder neue Informationen beinhalten. Viele Firmen haben es bereits am eigenen Leib erfahren, als die Vereinigung der Aufsichtsbehörde am 30. April kurzfristig Neuigkeiten zum Umgang mit Newsletter und Cookies publizierte. Das hat natürlich kurz vor der Einführung der DSGVO nochmals für große Aufruhr gesorgt. Daher kann ich nur dazu raten, den Newsletter der Aufsichtsbehörde zu abonnieren, um wirklich auf dem tagesaktuellen Stand zu sein. Denn vor Überraschungen ist man leider nicht gefeit.

 

8. Inwieweit wird die Einhaltung des Datenschutzes in RIOS bereits gewährleistet? Welche Tools stellt RIOS hier bereits zur Verfügung?
Wir haben in einem arbeitsreichen Workshop die Anforderungen mit den bestehenden Systemen abgeglichen und dementsprechend alles, was schnellstmöglich umzusetzen war, um die Gesetzeskonformität wieder zu erreichen, umgesetzt. Auch eine Rechteverwaltung, die der DSGVO entspricht, haben wir aufgesetzt und die Archivierungspflichten nochmal genauestens überprüft. Zudem betrifft es alle Bereiche mit der Ausführung von Newslettern. Es treibt also nicht nur die Firma Halvotec um, sondern die gesamte Software-Branche, die jetzt erstmal abwarten muss, welche genauen Ausführungsbestimmungen es gibt und wie diese schlussendlich umzusetzen sind. Aber da ist das RIOS-Team sehr gut aufgestellt, sodass wir auch kurzfristig bei Kundenwünschen unterstützen können. Hier haben wir viele Neuerungen, die nun nach und nach in den weiteren Versionen integriert werden.

9. Welche Formalien muss Halvotec mit seinen Kunden einhalten und wie ist hier der Stand?
Halvotec hat den großen Vorteil, als Softwareanbieter selbst keine Daten zu verarbeiten, zu bearbeiten oder zu verändern. Jedoch muss bezüglich der gemeinsamen Rechenschaftspflicht und Haftungsangelegenheiten als Minimum eine Vereinbarung mit den Kunden geschlossen werden. Im Supportfall kann es schließlich immer wieder passieren, dass wir auf die Systeme mit draufschauen müssen - in diesem Fall müssen dann eben die personenbezogenen Daten geschützt sein. Für diese Mindestanforderung haben wir bereits eine Vereinbarung unterschrieben. Wir werden jetzt die Vereinbarungen soweit auch zuschicken, sodass sie geprüft und dann mit Unterschrift zurückkommen können. In den anderen Bereichen sind ebenso schon sehr viele Auftragsverarbeitungsverträge unterzeichnet worden, etwa für Zulieferer, das Rechenzentrum usw. Diese Maßnahmen können wir als bereits abgeschlossen sehen.

ansprechpartner-cta__72x83.png

Mehr Informationen zu Halvotec finden Sie hier

mehr Informationen

Sie haben Fragen? Melden Sie sich bei mir.

Sandra Krause

Marketing

T +49 (0)8031 2979-24

F +49 (0)8031 2979-29

E sandra.krause@halvotec.de